AntiSlaed CMS 4.2 - РЕЛИЗ, Обновлён: 19 Nov 2008 Опции

[screatch]

AntiSlaed CMS 4.2 - РЕЛИЗ

(IMG:http://antislaed.net/uploads/dsfiles/img-24-1214423251.png)

Version: 4.2.0
Category: Релизы

Description:
Релиз AntiSlaed CMS 4.2
Мы хотели бы порадовать вас новой и на данный момент актуальной системой AntiSlaed CMS 4.2.

Нами было исправлено несколько критичных ошибок сделанных в системе, исправлено несколько мелких недочётов.

За релиз говорим спасибо Sunvas'у, за графику, Elf'у.

View File

Submitted by screatch, on Jun 23 2008, 14:06

Сообщение отредактировал screatch: Nov 20 2008, 00:47

[Sunvas]

Данный релиз оказался самым смешным из всех слаедов. Тщательно изучив изменения в системе, я пришел к выводу, что их (скорее всего) пед писал самостоятельно, потому что такая откровенная бредятина могла зародиться только в его голове с интеллектом наитупейшего существа. Только я углядел там две ошибки, одна из которых фатальная – обе исправлены. Исправлять все остальное - не было ни сил ни желания т.к. сейчас есть более интересные задачи. После этого релиза, всех «официальных» клиентов что будут использовать «официальный» слаед я считаю лошьем. Теперь по порядку.
С каждым релизом пед все больше и больше боится АСа. Уже из кожи вон лезет, чтобы усложнить нуление. На этот раз даже код SQL запросов поместил в инсталлер, который под зендом. Пед, ты действительно думаешь, что этим усложнил мне жизнь? - Ничуть. Так что как ни старайся, как ни выебывайся - все-равно, наша команда нашла способ. Тебе уже Леха писал, что все твои шаги известны наперед. (IMG:http://antislaed.net/style_emoticons/default/laugh.gif)
Теперь ближе к коду. Есть одна нехорошая ошибка: когда я запустил инсталлер, система тут же сказала, что есть проблемы с MySQL сервером. А все дело в том, что ты тупо инклудишь файл security.php, который в свою очередь пытается установить соединение с БД. Это я пофиксил (первая ошибка).
Вторая ошибка. В анонсе мне понравилось одно достойное улучшение: автоматическое архивирования логов ошибок. Тут я хочу заметить, что у тебя ТОННЫ ошибок! - Ты нагло обманываешь людей, блокируя логирование NOTICE ошибок (только не надо рассказывать басни, что это незначительные ошибки). Но я с нетерпением ждал релиза, чтобы посмотреть, как устроено. Нет, я безусловно знаю как это сделать и без твоей помощи, просто было интересно как это реализуешь именно ты. Когда я увидел твою реализацию, то слюни потекли.. Пфф. Сразу приведу твой код:

КОД

if (filesize($path) > 512000) {
    zip_compress($path, "config/logs/error_".date("d.m.Y").".txt");
    unlink($path);
}

Во-первых, 512000 – это размер в байтах и он никак не соответствует тому, что ты написал в анонсе. По размеру это далеко не один мегабайт (а всего лишь чуть меньше полмегабайта). Забыл как калькулятор запускать или пальцев посчитать не хватает? (IMG:http://antislaed.net/style_emoticons/default/laugh.gif)
Во-вторых, сразу видно, что ты не знаешь, как работает функция filesize. Иногда полезно смотреть и на сайты типа php.net, а не только телепузиков выглядывать. Суть твоей ошибки заключается в том, что функция filesize КЕШИРУЕТСЯ! Другими словами, если не очищать кеш то, один раз вызвав ее, она будет постоянно давать одно и то же значение для данного файла сколько бы раз ты ее не вызвал за один коннект! Ты кеш нигде не очищаешь – я проверил. Вот и получается, что если за один коннект твоя функция вызовется несколько раз – она будет каждый раз возбуждать архивирование. У тебя обычно не возникают поодинокие ошибки – они группами сыплються! Кроме этого, обрати внимание на unlink, который может вызвать ошибку. Эту ошибку ты не подавляешь. Это чревато двумя возможными вариантами:
1. лог предыдущих ошибок просто затрется т.к. в функции zip_compress произойдет чтение несуществующего файла, а потом эту пустоту он по-идее запишет поверх уже созданного архива. – потеряем лог ошибок. (IMG:http://antislaed.net/style_emoticons/default/laugh.gif)
2. ошибка породит нужду вновь обратиться к этой функции (логирования ошибок) и опять и снова произойдет ошибка удаления несуществующего файла т.е. получиться бесконечный цикл и серв повиснет. (IMG:http://antislaed.net/style_emoticons/default/laugh.gif)
Пофиксил я и эту ошибку.

Ну а далее вообще бред идет. (Ничего из нижеперечисленного я не фиксил)
1. пед, ты думаешь, что расставлять комменты, это круто? Я скорее уверен, что ты просто этим хочешь увеличить объем файлов.

КОД

# Zip compress
function zip_compress($src, $dst) {

Классный комментарий, не правда-ли? (IMG:http://antislaed.net/style_emoticons/default/laugh.gif)

2. Все твои "заплатки" безопасности - это не более, чем перемещение строк кода и создание алиасов переменных. Дыры как были, так и остались. Твоя система фильтрации входящих переменных как была маразматической, так и осталась. Я всегда считал, что система защиты должна быть умной т.е. она должна фильтровать ТОЛЬКО то, что является небезопасным по-сути (вспомним мой HTML фильтр - он что-то нужное заблокировал?). Если же при фильтрации система фильтрует и то, что не нужно фильтровать - это глупая система защиты (в принципе пед по-другому не умеет). Смотрим код:

КОД

    function input_parse($value) {
        if (is_array($value)) {
            $value = array_map("input_parse", $value);
        } elseif (!empty($value) && is_string($value)) {
            $in = array("#ALTER#i", "#DROP#i", "#INSERT#i", "#OUTFILE#i", "#SELECT#i", "#TRUNCATE#i", "#UNION#i", "#java script:#si", "#about:#si", "#vb script:#si");
            $out = array("A_lter", "D_rop", "I_nsert", "O_utfile", "S_elect", "T_runcate", "U_nion", "Java Script", "About", "VB Script");
            $value = preg_replace($in, $out, $value);
        }
        return $value;
    }
    $_POST = input_parse($_POST);
[...вырезано...]
    foreach ($_POST as $var_name=>$var_value) {
[...вырезано...]
        $security_string = "#ALTER|DROP|INSERT|OUTFILE|SELECT|TRUNCATE|UNION|".$prefix."_admins|".$prefix."_users|admins_show|admins_add|admins_save|admins_del#i";
[...вырезано...]
        if (preg_match($security_string, $var_value)) hack_report("XSS in POST - ".$var_name." = ". $var_value."");
        $security_slash = preg_replace("#\/\*.*?\*\/#", "", $var_value);
[...вырезано...]
}

Во-первых защита тупая как пробка. Пользователи же не смогут писать "SOVIET UNION"! Получиться "SOVIET U_nion" - мерзко, не правда-ли? (IMG:http://antislaed.net/style_emoticons/default/laugh.gif)
Во-вторых, сразу видно, что в твоем сравочнике по PHP для блондинок кто-то забыл упомянуть регистронезависимую функцию замены в строках. Лаком залил, когда ногти красил? Вот ты и заменяешь строки preg_replace-ом. А со стороны это вызывает только смех и верчение пальцем у виска. Да, и зачем в "#java script:#si" модифиактор "s"? Наверное прилепил на всякий случай - вдруг пригодиться! (IMG:http://antislaed.net/style_emoticons/default/laugh.gif)
В-третьих, зачем ты еще раз проверяешь $_POST массив через $security_string? Ах пед пед. Наверное второй раз - это для сверхуверенности? (IMG:http://antislaed.net/style_emoticons/default/laugh.gif) А потом говоришь, что твоя ЦМСка затрачивает минимально ресурсов. Да ты же ее кода не знаешь! (IMG:http://antislaed.net/style_emoticons/default/laugh.gif) (IMG:http://antislaed.net/style_emoticons/default/laugh.gif)

3.

КОД

function getagent() {
    if (getenv("HTTP_USER_AGENT") && strcasecmp(getenv("HTTP_USER_AGENT"), "unknown")) {
        $agent = text_filter(getenv("HTTP_USER_AGENT"));
    } elseif (!empty($_SERVER['HTTP_USER_AGENT']) && strcasecmp($_SERVER['HTTP_USER_AGENT'], "unknown")) {
        $agent = text_filter($_SERVER['HTTP_USER_AGENT']);
    } else {
        $agent = "unknown";
    }
    return $agent;
}

С text_filter-ом это ты жестко. Только много ресурсов уйдет на такую мелочь. Я не знаю, какому еще дамеру придет в голову сначало обратывать getenv(), а только потом переменную $_SERVER. Это все равно, что писать if (!true) ... . (IMG:http://antislaed.net/style_emoticons/default/laugh.gif)

Далее было еще много чего смешного, но уже нету сил писать. Поэтому закончу я "шедевром". Даже комментировать не буду - спросите у любого солидного разработчика, что это за код. Уверен, смеху будет или ругани.. - короче 100% педа-автора ламером назовут.

КОД

$referer = text_filter(getenv("HTTP_REFERER"));
[...вырезано...]
$result = $db->sql_query("SELECT link FROM ".$prefix."_auto_links");
while(list($slink) = $db->sql_fetchrow($result)) {
    if (preg_match("#".$slink."#i", $referer)) {
        $islink = 1;
        break;
        } else {
        $islink = 0;
    }
}
if ($islink) {
    [b]$db->sql_query("UPDATE ".$prefix."_auto_links SET hits=hits+1 WHERE link='".$slink."'");[/b]
    list($lid) = $db->sql_fetchrow($db->sql_query("SELECT id FROM ".$prefix."_auto_links WHERE link='".$slink."'"));
    $db->sql_query("INSERT INTO ".$prefix."_referer VALUES (NULL, '".$uid."', '".$uname."', '".$ip."', '".$referer."', '".$link."', now(), '".$lid."')");    } else {
    $db->sql_query("INSERT INTO ".$prefix."_referer VALUES (NULL, '".$uid."', '".$uname."', '".$ip."', '".$referer."', '".$link."', now(), '0')");
}

Единственное, что скажу. После этого (выделено жирным шрифтом) я НИКОГДА не назову твою систему модульной: код модуля в ядре системы... БРЕД!!!

[Elf]

Можно и мне спасибо сказать за графику (IMG:http://antislaed.net/style_emoticons/default/smile.gif) Ну хоть шото сделал (IMG:http://antislaed.net/style_emoticons/default/smile.gif)

[Z1dan3]

Спасибо! (IMG:http://antislaed.net/style_emoticons/default/smile.gif)

Сообщение отредактировал Z1dan3: Jun 23 2008, 13:14

[manuel]

Sunvas, зря писал. Зайдет сюда, прочитает, и выйдет 4.3 (IMG:http://antislaed.net/style_emoticons/default/smile.gif) или даже 5.0

[batarej]

Спасибо ребята,так держать. (IMG:http://antislaed.net/style_emoticons/default/smile.gif) (IMG:http://antislaed.net/style_emoticons/default/smile.gif) (IMG:http://antislaed.net/style_emoticons/default/smile.gif)

[Sunvas]

Sunvas, зря писал. Зайдет сюда, прочитает, и выйдет 4.3 или даже 5.0

Я не описывал детали. Ну а стырит - что ж.. Все будут знать, что он у меня тырит код. Кстати с filesize - это жестокая ошибка (IMG:http://antislaed.net/style_emoticons/default/laugh.gif)

[livetver]

А патча отдельного нет, не нашел что-то (IMG:http://antislaed.net/style_emoticons/default/smile.gif)

[Elf]

livetver патч чего?

[Sunvas]

Кстати, я с нетерпением жду релиза от прослаеда. пед, ты поспеши, а то все юзеры у нас будут (IMG:http://antislaed.net/style_emoticons/default/wink.gif)

[screatch]

Ну что господа пользователи)
Ищем баги)

[SaT31ReG]

у меня чёт в админку зайти неполучается
что делать?

Сообщение отредактировал SaT31ReG: Jun 23 2008, 17:30

[screatch]

у меня чёт в админку зайти неполучается
что делать?

А можно чуточку конкретней?)

[Sys(3)X]

SaT31ReG
Для начала стройте вопрос конкретнее. Что значит "не заходит"?

[D9D9_VAD9]

В этом релизе поставлена вот эта заплатка http://antislaed.net/index.php?showtopic=2654 ?

[virp]

в настройках нельзя поставить галочку напротив "Активировать преобразование ссылок в ЧПУ?"

[Smer4]

И так, начал тестить, сразу ошибки:
- РАДИО - после установки таблиц базы данных модуля выдает ошибку: "Таблица: префик_internet_radio - Ошибка"
- СЧЕТЧИК - установил на локалке, а пишет: "Пользователей: 8, Гостей: 7."
З.Ы. Если еще чего найду, отпишу...

Сообщение отредактировал Smer4: Jun 23 2008, 18:09

[ramzzes]

на версии 4.1 было супер.. в ком. был редактор бб , а теперь когда нажимаешь "Конфигурации" выбираешь там "HTML Редактор TinyMCE" то у ком. поевляется этот редактор=) а когда добавляешь новость то там вообще нет редактора(((

[Smer4]

После нескольких раз обновления страницы выдает ошибку: "Существует проблема с MySQL сервером", но после обновления страницы, все начинает грузится нормально...

[teletehnika]

Не создаётся админ после установки. Вписываю все данные, затем подтверждаю кнопкой создать (вроде так называется) и всё. Всё очищается а зайти никак. Смотрю в базе MySql, таблица " ***_users" админ создан с тем логином и паролем какой вводил а при создании ничего не происходит. Возможно у SaT31ReG та же проблема. Что то у меня постоянные баги после 3.5 версии.

[GoogleBot]